實(shí)驗(yàn)四、防火墻的基本配置

實(shí)驗(yàn)四、防火墻的基本配置實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)對(duì)防火墻系統(tǒng)的安裝與配置實(shí)驗(yàn)，加深對(duì)防火墻系統(tǒng)工作原理理解，掌握其常見產(chǎn)品的安裝與配置方法，為將來(lái)從事網(wǎng)絡(luò)工程建設(shè)打下基礎(chǔ)。實(shí)驗(yàn)要求通過(guò)本實(shí)驗(yàn)，熟悉防火墻的有關(guān)概念和基本功能，掌握防火墻的基本參數(shù)配置方法和安全策略配置方法。實(shí)驗(yàn)步驟Ciscofirewallpix防火墻的配置主要包括基本參數(shù)的配置和安全規(guī)則配置。對(duì)防火墻進(jìn)行配置一般有兩種途徑，即通過(guò)串口通信進(jìn)行本地配置和通過(guò)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程配置，但后一種配置方法只有在前一種配置成功后才可進(jìn)行，下面分別講述。3.1實(shí)驗(yàn)準(zhǔn)備準(zhǔn)備以下實(shí)驗(yàn)設(shè)備：?用于配置和測(cè)試的計(jì)算機(jī)兩臺(tái)以上（安裝Windows操作系統(tǒng)），最好有一臺(tái)筆記本電腦；?防火墻系統(tǒng)一臺(tái)以上（本實(shí)驗(yàn)中采用思科的PIX506系列防火墻）；?直連網(wǎng)線若干根；?RS-232C串行通信線一根；3.2以太網(wǎng)接口的配置我們采用本地配置的方式對(duì)防火墻進(jìn)行配置，連接步驟與交換機(jī)的配置過(guò)程類似，在此不再重復(fù)。如果連接正常且防火墻已啟動(dòng)的情況下，在超級(jí)終端窗口上就會(huì)出現(xiàn)如下所示的信息：UserAccessVerificationPassword:輸入口令（缺省口令為cisco）后就可進(jìn)入一般用戶命令狀態(tài)（提示符為＞），為了對(duì)防火墻參數(shù)進(jìn)行配置，需要進(jìn)入特權(quán)用戶狀態(tài)，PIX出廠時(shí)特權(quán)用戶密碼為空，修改密碼用passwd命令：PIX>enable 〃進(jìn)入特權(quán)用戶狀態(tài)Password:PIX#在默認(rèn)情況下，ethernet0是屬外部網(wǎng)卡outside,ethernetl是屬內(nèi)部網(wǎng)卡inside,inside已經(jīng)被激活生效了，但是outside必須通過(guò)命令激活。〃進(jìn)入配置狀態(tài)PIX#configt〃激活以太接口PIX(config)#interfaceethernet0autoPIX(config)#interfaceethernet1auto〃關(guān)閉以太接口PIX(config)#interfaeeethernet0shutdownPIX(config)#interfaceethernetlshutdown〃配置IP地址和子網(wǎng)掩碼假設(shè)內(nèi)部網(wǎng)絡(luò)為：，外部網(wǎng)絡(luò)為：：PIX(config)#ipaddressinsidePIX(config)#ipaddressoutside//定義安全級(jí)別security0是外部端口outside的安全級(jí)別(0安全級(jí)別最高)，security100是內(nèi)部端口inside的安全級(jí)別，如果還有其他以太口，則可以 security10，security20等命名：PIX(config)#nameifethernet。outsidesecurity0PIX(config)#nameifethernet1insidesecurity100〃如果PIX有三個(gè)接口，則可將一個(gè)以太口作為dmz(demilitarizedzones非武裝區(qū)域)，安全級(jí)別50：PIX(config)#nameifethernet2dmzsecurity50//配置遠(yuǎn)程訪問(wèn)[telnet]在默認(rèn)情況下，PIX的以太端口不允許telnet，可使用下面的命令允許：PIX(config)#telnetinsidePIX(config)#telnetoutside3.3訪問(wèn)控制配置訪問(wèn)列表是防火墻的主要功能配置部分，防火墻有permit和deny兩種訪問(wèn)控制權(quán)限，可控制的網(wǎng)絡(luò)協(xié)議一般有ip、tcp、udp、icmp等。例如，在內(nèi)網(wǎng)只允許訪問(wèn)外網(wǎng)主機(jī):54的www服務(wù)：PIX(config)#access-list100permitipanyhost54eqwwwPIX(config)#access-list100denyipanyanyPIX(config)#access-group100ininterfaceoutside訪問(wèn)規(guī)則一般通過(guò)GUI界面來(lái)配置比較直觀和方便，PIX缺省時(shí)內(nèi)部端口ethernet1的IP為，這樣可以通過(guò)瀏覽器的https協(xié)議來(lái)訪問(wèn)PIX的WEB配置界面(缺省時(shí)用戶名和密碼為空)并根據(jù)界面的提示信息來(lái)配置PIX防火墻系統(tǒng)：https://192.168.L1/startup.html3.4全局地址配置global命令用于定義內(nèi)部網(wǎng)或外部網(wǎng)中一個(gè)IP地址或一段地址范圍，以便在網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)使用。global命令的語(yǔ)法規(guī)則為：global(if_name)Nat_IDip_address-ip_address[netmarkglobal_mask]其中(if_name)表示網(wǎng)絡(luò)接口名字(如outside)，Nat_ID用來(lái)標(biāo)識(shí)定義的地址池，ip_address-ip_address表示單個(gè)ip地址或一段ip地址范圍，[netmarkglobal_mask]表示全局ip地址的網(wǎng)絡(luò)掩碼。例如：〃定義從5至08的全局外網(wǎng)IP地址池，Nat_ID編號(hào)為100：PIX(config)#global(outside)1005-8〃定義一個(gè)全局外網(wǎng)IP地址5，Nat_ID編號(hào)為200：PIX(config)#global(outside)2005netmask〃刪除一個(gè)Nat_ID編號(hào)為200全局IP地址：PIX(config)#noglobal(outside)20053.5動(dòng)態(tài)地址轉(zhuǎn)換動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)作用是將內(nèi)網(wǎng)的私有IP地址轉(zhuǎn)換為外網(wǎng)的公有IP地址，這樣，內(nèi)部網(wǎng)絡(luò)的用戶就可以訪問(wèn)外部網(wǎng)絡(luò)了。nat命令總是與global命令一起使用，所以，為了進(jìn)行地址轉(zhuǎn)換(NAT)，必須先用global定義IP池。nat命令語(yǔ)法規(guī)則為：nat(if_name)nat_idlocal_ip[netmark]其中(if_name)表示網(wǎng)絡(luò)接口名字(例如inside)，Nat_id為全局地址池編號(hào)，local_ip表示本地被轉(zhuǎn)換的ip地址，用表示所有主機(jī)，[netmark]表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。例如：〃將內(nèi)網(wǎng)的所有主機(jī)都映射到外網(wǎng)地址，也就是說(shuō)可以訪問(wèn)外網(wǎng)：PIX(config)#nat(inside)100 0 0或：PIX(config)#nat(inside)100〃只允許這個(gè)網(wǎng)段內(nèi)的主機(jī)可以訪問(wèn)外網(wǎng)。PIX(config)#nat(inside)1003.6靜態(tài)地址轉(zhuǎn)換如果需要從外網(wǎng)訪問(wèn)內(nèi)網(wǎng)的一個(gè)固定IP地址，可以使用靜態(tài)地址轉(zhuǎn)換，把該內(nèi)部地址固定轉(zhuǎn)換成一個(gè)指定的外部地址。static命令語(yǔ)法規(guī)則為：static(internal_if_name，external_if_name)outside_ip_addrinside_ip_addr其中internal_if_name表示內(nèi)部網(wǎng)絡(luò)接口(如inside)，external_if_name為外部網(wǎng)絡(luò)接口(如outside)，outside_ip_addr為外部網(wǎng)絡(luò)上的IP地址，inside_ip_addr為內(nèi)部網(wǎng)絡(luò)的IP地址。例如：〃將內(nèi)部地址為的主機(jī)固定轉(zhuǎn)換為2這個(gè)全局地址，外網(wǎng)用戶訪問(wèn)IP地址2實(shí)際上是訪問(wèn)內(nèi)部地址。PIX(config)#static(inside,outside)2 3.7靜態(tài)端口轉(zhuǎn)換在PIX版本6.0以上，增加了靜態(tài)端口轉(zhuǎn)換(或稱為重定向)的功能，與靜態(tài)地址轉(zhuǎn)換的功能類似，允許外部用戶通過(guò)一個(gè)特殊的IP地址/端口透過(guò)防火墻訪問(wèn)內(nèi)部指定的內(nèi)部服務(wù)器。該功能可方便發(fā)布內(nèi)部的www、ftp、mail等服務(wù)器，同時(shí)又保持內(nèi)部服務(wù)器的安全性。命令語(yǔ)法規(guī)則為：static[(internal_if_name,external_if_name)]{global_ip|interface}local_ip[netmaskmask][max_cons[max_cons[emb_limit[norandomseq]]]static[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}local_ip[netmaskmask][max_cons[max_cons[emb_limit[norandomseq]]]例如：〃外部用戶直接訪問(wèn)地址9telnet端口，通過(guò)pix重定向到內(nèi)部主機(jī)9的telnet端口(23)。PIX(config)#static(inside,outside) tcp9telnet9telnetnetmask5500〃外部用戶直接訪問(wèn)地址9ftp，通過(guò)pix重定向到內(nèi)部的ftpserver。PIX(config)#static(inside,outside)tcp9ftpftpnetmask5500〃外部用戶直接訪問(wèn)地址08www(即80端口)，通過(guò)pix重定向到內(nèi)部192.168.123的主機(jī)的www(即80端口)。PIX(config)#static(inside,outside)tcp08wwwwwwnetmask5500〃外部用戶直接訪問(wèn)地址01http(8080端口)，通過(guò)pix重定向到內(nèi)部的主機(jī)的www(即80端口)。PIX(config)#static(inside,outside)tcp08 8080wwwnetmask5500〃外部用戶直接訪問(wèn)地址smtp(25端口)，通過(guò)pix重定向到內(nèi)部的郵件主機(jī)的smtp(即25端口)PIX(config)#static(inside,outside)tcp08smtpsmtpnetmask55003.8管道命令使用static命令可以在一個(gè)本地ip地址和一個(gè)全局ip地址之間創(chuàng)建了一個(gè)靜態(tài)映射，但從外部到內(nèi)部接口的連接仍然會(huì)被pix防火墻的自適應(yīng)安全算法(ASA)阻擋，conduit命令用來(lái)允許數(shù)據(jù)流從具有較低安全級(jí)別的接口流向具有較高安全級(jí)別的接口，對(duì)于向內(nèi)部接口的連接,static和conduit命令將一起使用。conduit命令語(yǔ)法規(guī)則：conduitpermitldenyglobal_ipport[-port]protocolforeign_ip[netmask]其中permit|deny為允許或拒絕訪問(wèn)，global_ip是由global或static命令定義的全局ip地址，port指的是服務(wù)端口如www等，protocol指的是連接協(xié)議如TCP、UDP、ICMP等，foreign_ip表示可訪問(wèn)global_ip的外部IP。例如：〃允許任何外部主機(jī)對(duì)地址為的主機(jī)進(jìn)行http訪問(wèn)PIX(config)#conduitpermittcphosteqwwwany〃不允許外部主機(jī)9對(duì)任何全局地址進(jìn)行ftp訪問(wèn)PIX(config)#conduitdenytcpanyeqftphost9〃設(shè)置允許icmp消息向內(nèi)部和外部通過(guò)PIX(config)#conduitpermiticmpanyany〃允許外網(wǎng)的用戶能夠通過(guò)pix防火墻訪問(wèn)內(nèi)部主機(jī)上web服務(wù)，所以先做static靜態(tài)映射把內(nèi)部IP轉(zhuǎn)換為全局IP2，然后利用conduit命令允許任何外部主機(jī)對(duì)全局地址2進(jìn)行http訪問(wèn)。PIX(config)#static(inside,outside)2PIX(config)#conduitpermittcphost2eqwwwany3.9路由配置route命令定義一條靜態(tài)路由。route命令配置語(yǔ)法：route(if_name)00gateway_ip[metric]其中(if_name)表示接口名字，例如inside，outside，gateway_ip表示網(wǎng)關(guān)IP地址，[metric]表示到gateway_ip的跳數(shù)。通常缺省是1。例如：〃設(shè)置一條指向邊界路由器(IP地址)的缺省路由PIX(config)#routeoutside001〃設(shè)置一條指向內(nèi)部的路由PIX(config)#routeinside13.10配置fixup協(xié)議fixup